ファイルへの電子署名と、SSL用の証明書の違いを教えて欲しい

会社名での電子署名の必要に迫られていますが、セキュリティに関する知識がありません。具体的には以下の２点です。

１．ダウンロード販売する実行ファイルや、見積書・注文書・納品書などのPDF文書に電子署名したい
２．Webサイト一部ページをSSLで運用したい。（独自ドメイン、専用サーバで運用）

SSLサーバ用の電子証明書は「rapid-SSL」という格安のものを考えていますが、それはファイルの電子署名にも使えるものなのでしょうか。
ファイルへの署名はファイル単体を送付すれば署名して返してくれるサービスがあるようなのですが、今後シェアウェアなどを定期的に出していく予定で、自社で署名できるようにしておきたいのです。

どちらも「電子証明書」を取得する必要があるのは分かりますし、公開鍵暗号の概念だけは知っておりますが、具体的にどうすればよいのか、実務的な知識がまったくありません。

どうぞよろしくお願い致します。

No.3 ベストアンサー 回答者： noname#43129 回答日時： 2007/06/19 22:54

＞はじめは「一つの会社の実印のようなもの」をファイルにもSSL証明書にも「押印する」というようなイメージでした。

「会社の実印」に当たるものが「秘密鍵」で、「役所への実印登録」に当たるものがベリサインなどが行っている「認証サービス」に当たるのかと思っていました。つまり、実印さえ登録してしまえば、後はどのサーバーでもどのファイル文書でも自分で押印できる、という発想になったのですが、根本的に間違っているのでしょうか。

間違っていません。ですが、商品ラインナップを見てみればわかるように
コードサイニングとサーバ用証明書がわざわざ分かれて販売されているこ
とと、現実の実印と比べてライセンスの問題がどうなっているのか調べて
もよくわからなかったのです。ここもベリサインに質問した方がいいですね。
http://www.verisign.co.jp/codesign/help/contact/ …


＞サーバーの証明書というのは「あなたが接続しているのはXXXX.comのサーバーに間違いありません」という意味であって、「あなたが接続しているXXXX.comは○○会社がセキュリティを保証しています」という意味ではない、と理解していいですか？

正解です。あくまでもサーバが本当にその会社のものであるかを証明する
のが主な仕事です。語弊を生んでしまいますが、電子証明単体では高度な
セキュリティを実現するわけではありません。それはまた保守分野になり
ます。ただ、ＳＳＬ暗号通信を実装しているので、全くセキュリティを
保証していないわけではないのでこの辺の定義付けが専門家でないと難し
いですね。


＞これに対して、ファイルの電子署名というのは、「このファイル文書の製作者は○○会社に間違いありません（かつ改竄されていません）」という理解でよいのでしょうか。

これもほぼ正解です。ＰＤＦの場合電子証明書が付いた電子署名をされる
と、AdobeReaderの左に青いリボン付き勲章のマークがあります。実装して
あるサイトのＵＲＬを紹介しようとしたのですが見つかりませんでした。


ちなみに、一番解決したいアプリケーションのコードサイニング
用の電子署名ですが、おそらくサーバ用の電子署名と併用はでき
ないと思います。
念のため「未だに決めかねていますが…」というさわりで、販売
店にメール等で質問してみてください。
ベリサインは非常に高価なので、他にも安いコードサイニング商
品があるかこちらでも探してみます。あまり見掛けたこともない
ので期待はしないでください。

この回答へのお礼

回答、どうもありがとうございました。

仰るように業者に質問した方が正確なのでしょうが、質問の前提となるコンセプトを十分理解できておりませんでした。
おかげさまでファイルの電子署名とSSL証明書コンセプトが整理でき、ベリサイン等に問合せする準備ができたと思います。
どうもありがとうございました。

お礼日時：2007/06/20 09:31

No.2 回答者： noname#43129 回答日時： 2007/06/19 02:22

　それから、ファイルやパッケージへの電子署名は、公開鍵暗号方式を用い

て文書の作成者を証明し、そのドキュメント等が改ざんされていないかを確
認する技術のことです。

一方、サーバ用証明書はそのサーバがどこの組織のもので、どこの認証局
を利用しているものなのかその実在性を保証し、かつクライアント端末へ
のセキュアな暗号通信を確保します。

どちらも信頼性と完全性(非改竄)を求めてつくられたものですが、機密性
(暗号化)に関してはサーバ証明書の役割です。

No.1 回答者： noname#43129 回答日時： 2007/06/19 01:49

注意：間違っているかもしれません。

　　　正直パートナー代理店に問い合わせた方が早いです。

Ｑ１．ダウンロード販売する実行ファイルや、見積書・注文書・納品書などのPDF文書に電子署名したい

Ａ１．自分の考えとしてはお役所の実印と同じものですから、文章の作成
　　　者の印を押すのは現実と一緒なのかもというところが本音です。
　　　サーバと兼用するのはどうかと。
　　　出荷したパッケージの証明書ととサーバの証明書が一緒なのも
　　　ちょっと怖いです。

Ｑ２．Webサイト一部ページをSSLで運用したい。

Ａ２．すいません。詳しい事情も知らないので各社取扱いパートナーの
　　　営業に聞いてください。ただ、認証画面や注文・問い合わせフォ
　　　ームのみ使われることを意味していると思いますので、それ自体
　　　は技術的には可能だと思います。
　　　また、ＳＳＬを使用しているページの中にＳＳＬが施されてい
　　　ないページが存在すると、クライアントがアクセスした際にそ
　　　の部分を表示するかどうかのウィンドウが出ます。この下のURL
　　　をIEでクリックして下の「IACCEPT」という青いボタンを押して
　　　みてください。たぶん上よりこちらのことですかね。こちらも
　　　問題なくできていますね。
　　　http://www.f-secure.com/blacklight/try_blackligh …

このうち、自分が文書等の電子署名を取り扱っているのを知っている会社は
セコムや
http://www.secomtrust.net/service/service.html
http://www.secomtrust.net/service/ninsyo/e_write …
ベリサインパートナーです。
http://www.verisign.co.jp/personal/partner.html# …

この回答への補足

回答ありがとうございます。質問に補足させていただきます。

どうも私がまだコンセプトをよく理解しておらずに混乱しています。

はじめは「一つの会社の実印のようなもの」をファイルにもSSL証明書にも「押印する」というようなイメージでした。
「会社の実印」に当たるものが「秘密鍵」で、「役所への実印登録」に当たるものがベリサインなどが行っている「認証サービス」に当たるのかと思っていました。つまり、実印さえ登録してしまえば、後はどのサーバーでもどのファイル文書でも自分で押印できる、という発想になったのですが、根本的に間違っているのでしょうか。

サーバーの証明書というのは「あなたが接続しているのはXXXX.comのサーバーに間違いありません」という意味であって、「あなたが接続しているXXXX.comは○○会社がセキュリティを保証しています」という意味ではない、と理解していいですか？

これに対して、ファイルの電子署名というのは、「このファイル文書の製作者は○○会社に間違いありません（かつ改竄されていません）」という理解でよいのでしょうか。

重ねての質問で申し訳ございません。よろしくお願い致します。

補足日時：2007/06/19 11:29